# IAM 角色管理
<a name="id_roles_manage"></a>

您必须先对用户授予切换到您创建的角色的权限，然后用户、应用程序或服务才能使用该角色。您可使用附加到组或用户的任何策略授予所需权限。本部分描述如何授予用户使用角色的权限。它还解释了用户如何从 Amazon Web Services 管理控制台、Tools for Windows PowerShell、Amazon Command Line Interface (Amazon CLI) 和 [https://docs.amazonaws.cn/STS/latest/APIReference/API_AssumeRole.html](https://docs.amazonaws.cn/STS/latest/APIReference/API_AssumeRole.html) API 切换到角色。

**重要**  
当您以编程方式而不是在 IAM 控制台中创建角色，则除最长可达 64 个字符的 `RoleName` 外，您还可以选择添加最长 512 个字符的 `Path`。不过，如果您打算通过 Amazon Web Services 管理控制台 中的 **Switch Role**（切换角色）功能使用角色，则组合的 `Path` 和 `RoleName` 不能超过 64 个字符。

**Topics**
+ [查看角色访问](#roles-modify_prerequisites)
+ [基于访问信息生成策略](#roles-modify_gen-policy)
+ [向用户授予切换角色的权限](id_roles_use_permissions-to-switch.md)
+ [向用户授予权限以将角色传递给 Amazon 服务](id_roles_use_passrole.md)
+ [撤销 IAM 角色临时安全凭证](id_roles_use_revoke-sessions.md)
+ [更新服务相关角色](id_roles_update-service-linked-role.md)
+ [更新角色信任策略](id_roles_update-role-trust-policy.md)
+ [更新角色的权限](id_roles_update-role-permissions.md)
+ [更新角色的设置](id_roles_update-role-settings.md)
+ [删除角色或实例配置文件](id_roles_manage_delete.md)

## 查看角色访问
<a name="roles-modify_prerequisites"></a>

在更改角色的权限之前，您应查看其最近的服务级别活动。这非常重要，因为您不想删除使用它的主体（个人或应用程序）的访问权限。有关查看上次访问的信息的更多信息，请参阅 [使用上次访问的信息优化 Amazon 中的权限](access_policies_last-accessed.md)。

## 基于访问信息生成策略
<a name="roles-modify_gen-policy"></a>

有时，您可能会向 IAM 实体（用户或角色）授予超出其需要的权限。为帮助您优化授予的权限，您可以根据实体的访问活动生成 IAM policy。IAM 访问分析器会查看您的 Amazon CloudTrail 日志并生成一个策略模板，其中包含实体在指定日期范围内使用的权限。您可以使用模板创建具有精细权限的托管策略，然后将其附加到 IAM 实体。这样，您仅需授予用户或角色与特定使用案例中的 Amazon 资源进行交互所需的权限。要了解更多信息，请参阅 [IAM Acess Analyzer 策略生成](https://docs.amazonaws.cn/IAM/latest/UserGuide/access-analyzer-policy-generation.html)。